LUXEMBOURG/BRUXELLES (Reuters) - La Cour européenne de justice (CEJ), suivant l'avis de son avocat général, a invalidé mardi une directive de la Commission adoptée en juillet 2000 autorisant le transfert de données personnelles d'internautes européens vers les Etats-Unis.
La Commission européenne avait fixé un cadre juridique accordant aux Etats-Unis un régime de "Safe Harbour", autrement dit la possibilité de stocker sur des serveurs américains des données personnelles de ressortissants européens.
La Cour de justice, dans un communiqué, déclare la décision prise par "la Commission le 26 juillet 2000 invalide".
Elle argue du fait que le cadre juridique prévoit qu'une entreprise ou une société qui entend faire sortir des données de l'UE doit disposer de la part du pays destinataire, en l'occurrence les Etats-Unis, d'un "niveau de protection adéquat à ces données" en prenant en compte "toutes les circonstances" légales ou de fait.
Or, dans son avis, l'avocat général auprès de la CEJ estimait que les circonstances n'étaient plus de nature à assurer ce niveau de protection depuis les révélations faites par l'ancien analyste Edward Snowden sur le programme de surveillance Prism de l'Agence de sécurité nationale américaine (NSA).
Lors d'une conférence de presse tenue dans l'après-midi, le vice-président de la Commission européenne Frans Timmermans a déclaré que l'UE travaillait à une réforme du système actuel afin de tenir compte de la décision de la CEJ.
"Dans l'intervalle, les transferts de données peuvent se poursuivre sur la base d'autres mécanismes" juridiques, a-t-il dit.
"Nous travaillons avec les autorités américaines pour rendre les transferts de données plus sûrs pour les citoyens européens. A la lumière de ce jugement (de la CEJ), nous allons poursuivre ce travail pour mettre en place un nouveau cadre, sûr, de transfert des données personnelles à travers l'Atlantique."
"Pour tenir compte de ce jugement, nous allons présenter des orientations claires aux autorités chargées de la protection des données afin de voir comment traiter les demandes de transfert vers les Etats-Unis", a ajouté Frans Timmermans.
PLAINTE D'UN AUTRICHIEN
La CEJ a fait droit à la plainte déposée par un ressortissant autrichien, Maximilian Schrems, auprès de l'autorité irlandaise de contrôle après les révélations faites par Edward Snowden en 2013 sur les activités d'espionnage de la NSA visant des sociétés comme Apple (NASDAQ:AAPL), Facebook (NASDAQ:FB) ou Google (NASDAQ:GOOGL).
Maximilian Schrems, utilisateur de Facebook depuis 2008, estimait que ses données personnelles transférées à partir de la filiale irlandaise de Facebook vers des serveurs aux Etats-Unis ne bénéficiaient plus de "la protection suffisante contre la surveillance" que devaient offrir le droit et les pratiques des autorités américaines.
La CEJ a donc jugé que l'autorité irlandaise de contrôle "est tenue d'examiner la plainte de M. Schrems et qu'il lui appartient, au terme de son enquête, de décider s'il convient, en vertu de la directive, de suspendre le transfert des données des abonnés européens de Facebook vers les Etats-Unis".
La Cour européenne ajoute que les entreprises américaines sont soumises au respect de cette protection suffisante "sans qu'aucune différenciation, limitation ou exception ne soient opérées".
"Il s'agit d'une très mauvaise nouvelle pour les relations commerciales entre l'Union européenne et les USA", a estimé Richard Cumbley, responsable des questions de technologie, des médias et des télécommunications au cabinet juridique Linklaters. "Sans Safe Harbour, (les entreprises) vont avoir du mal à mettre en oeuvre des solutions de remplacement".
(Julia Fioretti, Philip Blenkinsop et Michele Sinner; Pierre Sérisier et Guy Kerivel pour le service français)